V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
Jacksgong
V2EX  ›  问与答

怎么看待苏宁易购长期存在低级安全漏洞?

  •  5
     
  •   Jacksgong · 2016-03-24 00:48:47 +08:00 · 5822 次点击
    这是一个创建于 3201 天前的主题,其中的信息可能已经有所发展或是发生改变。

    首先这个问题挺困扰的,已经困扰一大批受害用户,我们先从苏宁存在的漏洞出发,希望大家各持己见,来看看这个问题,以及为什么这么严重的事情,为什么除了乌云以及搞安全的人知道,无论维权人事怎么推动,社会的人却知之甚少。

    苏宁的各种低级安全漏洞层出不穷:

    我相信只要稍微关注互联网安全的人,都有所了解,我就只列举一二比较有权威支持的。

    1. 苏宁用户信息泄露漏洞被证实

    该问题拓展另外的泄漏: 苏宁易付宝钱包 IOS 客户端存在账户越权可泄漏任意用户姓名 /银行卡号 /手机号等

    因为这种受骗的,我们已经不再提及,因为整个互联网界,只要稍动手脚,要获得用户信息台阶很低,我相信除去苏宁以外所有公司都有可能有类似的问题,因为漏洞是永远存在的,只是是否足够复杂,足够隐蔽。完全是用户智商判断能力,决定是否受骗。

    2. 如何看待苏宁易购 APP 源码泄露?苏宁易购 Android 客户端用户已进入裸奔状态,可泄露“内裤”

    我目前是 Android 开发,看到这些我实在是无言以对。

    这些直接通过抓包, 所有信息都是明文,并且可以随意篡改,用户根本在不知不觉中就可以被盗取资金(相关说明直接看上面乌云的链接吧),我甚至可以用业余的 OpenWrt 简单搞个路由器,直接搞个脚本抓包篡改,用户资金安全淡然无存。请注意这是一款交易平台 App

    其实遇到问题不可怕,可怕的是在出现问题了,不知道问题的严重性,根据乌云中的流程状态,苏宁对安全实在是不重视。

    苏宁易购还有各种低级漏洞,这里就一一报了,2016 年刚过去 3 个月,苏宁易购在乌云上被爆的已经多达 20 个: WooYun-苏宁易购厂家信息


    今天要提的不是上面已经爆出了的漏洞,而是我昨天刚刚同步给乌云工作人员的新的爆出来的安全风控漏洞 (报漏洞的群无法证明是乌云,贴了这个图,相信参加了 2015 年乌云大会的朋友都有在这个群里):

    这个问题的重点:

    1. 这个漏洞导致用户资金损失到目前苏宁对这个漏洞的修复情况

    2. 苏宁对待这个漏洞导致的受害用户的处理方法

    这个漏洞是什么

    任性宝的类似的漏洞,有兴趣的朋友可以到知乎看: 苏宁易购账户可能已被泄露,在我没做任何操作的情况下被开通了任性付,盗刷了 4472 元,我该如何维权?

    苏宁易付宝的这个漏洞我在知乎这篇文章有详细的阐述,并且有各类举证,我自己是受害者之一,这里就不描述过程,要看过程与举证的,可以看这里: 苏宁这么一家没有责任感,并且视用户资金安全为草菅的公司,为何估价还能蹭蹭上涨?

    1. 苏宁易购在绑定了快捷支付的情况下,还允许通过一个陌生人认证、快捷支付绑定手机号码对应不上的 易支付账户绑定
    2. 在这种情况下(我也没有被通知并未知苏宁易购可以未验证扣款的,支付宝与京东是需要的),苏宁的扣款没有任何验证短信信息

    这个漏洞导致每天都有像我这样的人莫名其妙的中招了。并且偷盗者的信息(绑定手机、身份证认证、提现记录等)苏宁全都有,提现记录苏宁都有,最后就是不承认,就是刁难受害用户

    今天我被拉进了几个群,都是被这些漏洞坑,维权无门的。

    接下来是重点

    1. 这个漏洞导致用户资金损失到目前苏宁对这个漏洞的修复情况

    这个漏洞从苏宁信息泄漏案件之后(2015 年 12 月)开始,就逐渐暴露出来,每天都有新用户因为这些漏洞资金上被盗走。而苏宁至今为对该漏洞进行修复。 (他们可能把心思放到了公关,而对于安全这块非常不重视)注意现在依然存在!

    2. 苏宁对待这个漏洞导致的受害用户的处理方法

    苏宁对待这个漏洞导致的问题,对于用户是非常刁难,而且这个刁难是递进的,之所以是递进的,苏宁在刚开始给用户发的邮件是这样子的:

    P.S: 可以通过下面的链接直接看知乎上的原文。

    尊敬的客户,您好!
    请按邮件要求提供
    1.《本人声明》:须真实准确的将事实经过表述完整,同时本人须亲笔签名并对声明真实性负责,具体模板可参见附件;
    2.报案回执或其替代性文件,其中替代性文件须包括但不限于以下要素:公安机关公章、报案人、报案时间、报案地点、报案事由、接待警察联系方式,具体替代性文件种类包括但不限于报案笔录、接处警登记表等;
    3.上述两份文件材料可以照片或扫描件形式,作为附件回复至该邮箱;
    4.我司接到相关材料后,会由专人尽快审核并回复您。
    苏宁消费金融公司
    风险管理部
    
    作者:师力
    链接: https://www.zhihu.com/question/38280719/answer/80876194
    来源:知乎
    著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
    

    到我遇到的那时候,不断联系以后,一天过后慢悠悠的给过来百般刁难的邮件信息:

    我看到这邮件以后,我直接与苏宁联系,说我在上海,可以直接到你们的分部配合你们做所有的审核,因为是你们给我带来的损失,希望也能派出人员,而不是一味为难用户,....得不到答复 2333。细节: 苏宁请担起你作为互联网企业责任,让用户还敢用你

    P.S: 其实我对我的 1500 元被追不追的回已经不抱太大希望(只要苏宁肯作为,所有数据都在苏宁后台,配合警方,我也会配合,那么难点在哪里?这些用户不值一提?),只是太看不过了。


    在这里我确有维权的意味,因为维权无门嘛,中国还存在这样有恃无恐,践踏用户资金安全的公司,但是最后还是希望听听大家对于这家公司的看法

    第 1 条附言  ·  2016-03-24 08:37:27 +08:00

    gg ,上面的苏宁易购乌云漏洞的链接竟然打不开。

    谷歌搜索: "苏宁易购 site:wooyun.org" 第一个结果就是:

    http://www.wooyun.org/corps/%E6%B1%9F%E8%8B%8F%E8%8B%8F%E5%AE%81%E6%98%93%E8%B4%AD%E7%94%B5%E5%AD%90%E5%95%86%E5%8A%A1%E6%9C%89%E9%99%90%E5%85%AC%E5%8F%B8

    6 条回复    2016-03-26 19:01:56 +08:00
    crab
        1
    crab  
       2016-03-24 01:34:52 +08:00
    苏宁把安全的钱节约用去买特谢拉了。
    wwqgtxx
        2
    wwqgtxx  
       2016-03-24 08:10:27 +08:00 via Android
    反正现在可以直接在天猫上买苏宁易购的东西了,所以他自己的平台慢慢的也就不用管了
    网购,还是马云家的平台考虑(虽然手机淘宝 app 优化的像一坨翔)
    vincentxue
        4
    vincentxue  
       2016-03-24 09:35:01 +08:00
    楼主在不少地方都发了贴了吧,感觉都不温不火啊。为什么不较下真,咨询律师告他呢?
    mailunion
        5
    mailunion  
       2016-03-24 09:45:23 +08:00
    国内的网站很大一部分就是垃圾,界面丑陋、字体不好看、最恶心的是家家做支付,账号不互通、不能自主删除。
    woyaojizhu8
        6
    woyaojizhu8  
       2016-03-26 19:01:56 +08:00 via Android
    苏宁是最大的线上线下一体的电器商场了吧……也这么不可靠
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   959 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 22:08 · PVG 06:08 · LAX 14:08 · JFK 17:08
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.